NSX-T Data Center prend en charge l'établissement d'un service VPN IPSec site à site entre une passerelle de niveau 0 ou de niveau 1 et des sites distants. Vous pouvez créer un service VPN IPSec basé sur des stratégies ou sur une route. Vous devez d'abord créer le service VPN IPSec avant de pouvoir configurer une session VPN IPSec basée sur des stratégies ou sur une route.

Note : Le VPN IPSec n'est pas pris en charge dans la version NSX-T Data Center avec exportation limitée.

Le VPN IPSec n'est pas pris en charge lorsque l'adresse IP du point de terminaison local passe par NAT dans le même routeur logique sur lequel la session VPN IPSec est configurée.

Conditions préalables

  • Familiarisez-vous avec le VPN IPSec. Reportez-vous à la section Comprendre le VPN IPSec.
  • Vous devez avoir configuré au moins une passerelle de niveau 0 ou de niveau 1 et celle-ci doit être disponible. Pour plus d'informations, reportez-vous à la section Ajouter une passerelle de niveau 0 ou Ajouter une passerelle de niveau 1.
  • Lorsque vous configurez NSX-T Data Center avec NAT et IPSec, il est important de suivre la bonne séquence d'étapes pour garantir une fonctionnalité appropriée. En particulier, configurez NAT avant de configurer la connexion VPN. Si vous configurez par inadvertance le VPN avant NAT, par exemple, en ajoutant une règle NAT après la configuration de votre session VPN, l'état du tunnel VPN reste inactif. Vous devez réactiver ou redémarrer la configuration VPN pour rétablir le tunnel VPN. Pour éviter ce problème, configurez toujours NAT avant de configurer la connexion VPN dans NSX-T Data Center ou appliquez la solution pour résoudre le problème.

Procédure

  1. Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
  2. Accédez à Mise en réseau > VPN > Services VPN.
  3. Sélectionnez Ajouter un service > IPSec.
  4. Entrez le nom du service IPSec.
    Ce nom est obligatoire.
  5. Dans le menu déroulant Passerelle de niveau 0/Passerelle de niveau 1, sélectionnez la passerelle de niveau 0 ou de niveau 1 à associer à ce service VPN IPSec.
  6. Activez ou désactivez Statut administratif.
    Par défaut, la valeur est définie sur Enabled, ce qui signifie que le service VPN IPSec est activé sur la passerelle de niveau 0 ou de niveau 1 une fois le nouveau service VPN IPSec configuré.
  7. Définissez la valeur pour Niveau de journal IKE.
    Par défaut, il est défini sur le niveau Info.
  8. Entrez une valeur pour Balises si vous souhaitez inclure ce service dans un groupe de balises.
  9. Pour activer ou désactiver la synchronisation avec état des sessions VPN, cliquez sur le bouton bascule Synchronisation de session.
    Par défaut, la valeur est réglée sur Enabled.
  10. Cliquez sur Règles de contournement global pour autoriser l'échange de paquets de données entre les adresses IP locales et distantes spécifiées sans aucune protection IPSec. Dans les zones de texte Réseaux locaux et Réseaux distants, entrez la liste des sous-réseaux locaux et distants entre lesquels les règles de contournement sont appliquées.
    Si vous activez ces règles, les paquets de données sont échangés entre les sites IP locaux et distants spécifiés, même si leurs adresses IP sont spécifiées dans les règles de session IPSec. Par défaut, la protection IPSec est utilisée lorsque les données sont échangées entre les sites locaux et distants. Ces règles s'appliquent à toutes les sessions VPN IPSec créées au sein de ce service VPN IPSec.
  11. Cliquez sur Enregistrer.
    Une fois que le nouveau service VPN IPSec a été correctement créé, il vous est demandé si vous souhaitez poursuivre le reste de la configuration VPN IPSec. Si vous cliquez sur Oui, vous revenez au panneau Ajouter un service VPN IPSec. Le lien Sessions est à présent activé et vous pouvez cliquer dessus pour ajouter une session VPN IPSec.

Résultats

Après l'ajout d'une ou de plusieurs sessions VPN IPSec, le nombre de sessions de chaque service VPN s'affiche dans l'onglet Services VPN. Vous pouvez reconfigurer ou ajouter des sessions en cliquant sur le nombre dans la colonne Sessions. Il n'est pas nécessaire de modifier le service. Si le nombre est égal à zéro, vous ne pouvez pas cliquer dessus et vous devez modifier le service pour ajouter des sessions.

Que faire ensuite

Utilisez les informations de la rubrique Ajout de sessions VPN IPSec pour vous guider lors de l'ajout d'une session VPN IPSec. Vous fournissez également des informations pour les profils et le point de terminaison local qui sont requises pour terminer la configuration VPN IPSec.